Historie
TorrentLocker er en ransomware infeksjon. Dens primære mål pleide å være Australia. Sent i fjor ble det oppdaget i Italia. Nå angrep i Storbritannia og Tyrkia har piggete. Det er kjent at TorrentLocker bruker phishing e-post. E-postene later til å være fra noen offentlig etat eller verktøy, og prøver å lokke brukere til ondsinnede nettsteder.
The Attack
Hvis brukerne klikker på linkene presentert i e-poster, de vil bli omdirigert til falske nettsteder av verktøy eller institusjoner. For eksempel, dette kan være British Gas for Storbritannia eller Turkcell for Tyrkia. Deretter, de vil bli bedt om å skrive inn en captcha for å vise sine regningen, eller laste ned informasjon om sin sak (Hvis websiden ligner hjemmekontor). Hvis brukerne holde, men, Dette vil resultere i å laste ned TorrentLocker infeksjon til deres system.
Brukerne vil faktisk laster ned zip-filer som inneholder smitte filer. Glidelåsen kan navngis turkcell_fatura_192189779.zip, case_14781.zip, informacje_przesylki.zip, etc. avhengig av ondsinnet nettsted du har blitt overført til. Under ingen omstendigheter bør du åpne eller laste ned disse filene. Hva er mer, det ville være best hvis du identifisere de falske e-poster fra starten og slette dem straks.
Mye flere mål
Selv om det er virker det for nå infeksjonen hovedmål er Storbritannias, det betyr ikke at det er det bare en. TorrentLocker har også blitt observert i Polen, Spania, Tyskland, og USA sammen med de andre nevnte landene. For nå ser det ut til at angrepene i Australia har nedgang, men de har ikke sluttet for godt. Dette er grunnen til at brukerne ikke skal sette sine vakt ned.
Hvor kommer trusselen kommer fra
Forskning av TorrentLocker viser at om 800 domener ble utsatt for å spre infeksjonen. Deres formål er å arrangere bildene i e-poster, eller å omdirigere brukere til falske nettsider. Det ble også oppdaget at de falske sidene selv blir arrangert på serverer ligger hovedsakelig i Russland Tyrkia, samt noen i Frankrike.
Torrent Locker benytter et lite utvalg av kommando-og-kontrollservere. Her er en komplett liste over dem:
- kergoned.net (178.32.72.224)
- driblokan.net (87.98.164.173)
- bareportex.org (185.42.15.152)
- projawor.net (87.98.164.173)
- golemerix.com (212.76.130.69)
- klixoprend.com (185.86.76.80)
- krusperon.net (91.226.93.33)
- imkosan.net (185.86.76.80)
- loawelis.org (178.32.72.224)
Serveren som oftest brukes er klixoprend.com. Denne serveren er også kjent for å bli brukt av Timba skadelig. Dette malware er i stand til å generere tilfeldige domenenavn for falske nettsteder. Så hvis domenenavnet ser omtrent slik ut hhjgrtttwiod.com, så er du definitivt på en ondsinnet nettside som gir seg ut for å være ekte.
Dess, de kommando-og kontroll domener har blitt registrert under et domene personvern tjenester. Dette betyr at det er ingen måte å finne ut hvem som står bak denne fordelingen av TorrentLocker.
Forebyggende tiltak
Det er viktig å identifisere trusselen så snart som mulig. Hvis du kan se at e-post med link til skadelige nettsider er falske, og slette den, så stor. Hvis du finner deg selv på ondsinnet nettsted, men, Det er fortsatt ikke for sent. Hvis siden bare spør deg om en captcha, og deretter tilbyr deg å laste ned en fil, avvise det og forlater siden. Det beste du kan muligens gjøre er å ha en pålitelig sikkerhetssystem på PCen som vil beskytte deg mot angriperne, selv om du ikke er så forsiktig som du bør være. Det ville fungere som et sikkerhetsnett for datamaskinens sikkerhet.